MIG是一款由Mozilla开发的分布式取证开源框架。MIG即使检测数千台服务器速度依旧很快,其只专注于在大量的系统中搜索正则表达式和字符串,非常高效。
近来我在奥斯丁举办的DFIR峰会上展示MIG时,其中一位与会人员向我提出了一个问题“它可以用来检测未知或者伪造的系统么?”最好的办法就是执行一种检测方法来观察其网络,特别是伪造主机的出站连接或者恶意软件建立的一个C&C服务。MIG还可以通过检测远程系统的ARP表以及与已知系统的本地MAC地址交叉引用结果来继续探测。在已知系统中任何未配置MAC地址的都可能是伪造代理。
首先,我们需要在已知系统ARP表中检索所有的MAC地址,netstat模块可以通过邻近MAC地址来匹配正则表达式“^[0-9a-f]”(匹配所有的十六进制)来完成这个任务。
$ mig netstat -nm "^[0-9a-f]" > /tmp/seenmacs
将结果保存到/tmp/seenmacs,并使用一些bash列出独特的MAC地址
$ awk '{print tolower($5)}' /tmp/seenmacs | sort | uniq 00:08:00:85:0b:c2 00:0a:9c:50:b4:36 00:0a:9c:50:bc:61 00:0c:29:41:90:fb 00:0c:29:a7:41:f7 00:10:db:ff:10:00 00:10:db:ff:30:00 00:10:db:ff:f0:00 00:21:53:12:42:c1
接着我们需要检测每一个已经配置MAC地址的已知代理,当然我们可以继续使用netstat模块来完成这个任务。这一次通过-lm来查询本地MAC地址。
现在MACs列表可能已经很长了,使用下面脚本我们将其分为50个一组。
#! /usr/bin/env bash i=50 input=$1 output=$2 while true do echo -n "mig netstat " >> $output for mac in $(awk '{print tolower($5)}' $1|sort|uniq|head -$i|tail -50) do echo -n "-lm $mac " >> $output done echo >> $output i=$((i+50)) if [ $i -gt $(awk '{print tolower($5)}' $1|sort|uniq|wc -l) ] then exit 0 fi done
该脚本将netstat命令的最大参数限制为50,参数1调用/tmp/seenmacs,参数2为输出文件。
$ bash /tmp/makemigmac.sh /tmp/seenmacs /tmp/migsearchmacs
/tmp/migsearchmacs包含许多MIG netstat指令用于通过已知主机配置接口搜索MAC地址,运行指令并将结果输出到文件
$ for migcmd $(cat /tmp/migsearchmacs); do $migcmd >> /tmp/migfoundmacs; done
现在我们有一个包含MAC地址文件,以及一个已知系统下配置了MAC地址的文件。在bash中做两个判别式很简单
$ for seenmac in $(awk '{print tolower($5)}' /tmp/seenmacs|sort|uniq); do hasseen=""; hasseen=$(grep $seenmac /tmp/migfoundmacs) if [ "$hasseen" == "" ]; then echo "$seenmac is not accounted for" fi done 00:21:59:96:75:7f is not accounted for 00:21:59:98:d5:bf is not accounted for 00:21:59:9c:c0:bf is not accounted for 00:21:59:9e:3c:3f is not accounted for 00:22:64:0e:72:71 is not accounted for 00:23:47:ca:f7:40 is not accounted for 00:25:61:d2:1b:c0 is not accounted for 00:25:b4:1c:c8:1d is not accounted for
定时运行这个程序是个不错的主意哟,下面的脚本能够实现自动化操作,并将最后生成的报告邮寄给你最喜欢的安全团队。
#!/usr/bin/env bash SEENMACS=$(mktemp) SEARCHMACS=$(mktemp) FOUNDMACS=$(mktemp) echo "seen mac addresses are in $SEENMACS" echo "search commands are in $SEARCHMACS" echo "found mac addresses are in $FOUNDMACS" echo "step 1: obtain all seen MAC addresses" $(which mig) netstat -nm "^[0-9a-f]" 2>/dev/null | grep 'found neighbor mac' | awk '{print tolower($5)}' | sort | uniq > $SEEN MACSMACCOUNT=$(wc -l $SEENMACS | awk '{print $1}') echo "$MACCOUNT MAC addresses found"echo " step 2: build MIG commands to search for seen MAC addresses" i=50 while true; do echo -n "$i.." echo -n "$(which mig) netstat -e 50s " >> $SEARCHMACS for mac in $(cat $SEENMACS | head -$i | tail -50) do echo -n "-lm $mac " >> $SEARCHMACS done echo -n " >> $FOUNDMACS" >> $SEARCHMACS if [ $i -gt $MACCOUNT ] then break fi echo " 2>/dev/null &" >> $SEARCHMACS i=$((i+50)) done echo echo "step 3: search for MAC addresses configured on local interfaces" bash $SEARCHMACS sleep 60 echo "step 4: list unknown MAC addresses" for seenmac in $(cat $SEENMACS) do hasseen=$(grep "found local mac $seenmac" $FOUNDMACS) if [ "$hasseen" == "" ]; then echo "$seenmac is not accounted for" fi done
未知MACs列表可以用来研究端点,他们可能是交换器,路由器,或者其他不需要运行MIG代理的网络设备。再或者他们可能是伪造端点,这就需要你注意了
* 参考来源 Linuxwall ,译者/鸢尾 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)